「アスマート」顧客情報への不正アクセスに伴う個人情報流出についてのご報告とお詫び
このたび、当社の通販サイト「アスマート」 http://shop.amuse.co.jp/asmart/ (以下「本サイト」)の運営業務を委託しております株式会社テイパーズ(以下テイパーズ社 代表取締役 森高幸 埼玉県川口市差間2-6-35)のウェブサーバーに対して海外(中国)サーバーからの不正アクセスがあり、その内容を調査いたしましたところ、本サイトをご利用いただいておりますお客様の個人情報が一部流出したことを確認いたしました。 お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけ致しまして深くお詫び申し上げます。当社では、今回の事態を厳粛に受け止め、お客様及び関係者の皆様の信頼回復に全社一丸となって、全力で取り組んでおります。 現在、当社及びテイパーズ社では第三者のセキュリティ専門会社「株式会社ラック サイバーリスク研究所 サイバー119」(以下ラック社)に調査と不正アクセス
いままで iモードID(guid, 個体識別番号)は大文字・小文字の区別ありなことを意識していなかった - IMAKADO::BLOG
いわゆる、かんたんログインと呼ばれる認証方法をドコモ端末で実装するときにつかわれていると思われるiモードIDですが、大文字・小文字の区別あり、だということを今日初めて知りました。 以下、問題になった部分の最小構成。かんたんログインの是非はいったん置いておきます。 CREATE TABLE `user` ( id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT, mobile_id VARCHAR(255) NOT NULL, PRIMARY KEY(id), UNIQUE INDEX user_mobile_id(mobile_id) ); INSERT INTO `user` (mobile_id) VALUES('xx0000x'); -- => Query OK, 1 row affected (0.06 sec) INSERT INTO `user
コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記
ITProの記事が契機となって、PCIDSS(PCIデータセキュリティ規準)およびパスワードに関する規定が話題となっている*1。 「パスワードは90日ごとの変更」が義務づけられる!? | 日経 xTECH(クロステック) それに対して,PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9 ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9「ユーザー・パスワードは少なくとも90日ごとに変更する」に関して疑問を持った。これはいわゆる「セキュリティの常識」という奴の一つではあるが、実際のところ、
i-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)
_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
i-mode2.0は前途多難 - ockeghem's blog
既に発表されているように、NTTドコモの夏モデルからi-modeの仕様が大幅に拡張され、JavaScript、Cookie、Refererに対応するようになった。これら仕様変更はセキュリティの面からも影響が大きいため、私は夏モデルの中から、P-07Aを発売開始日(5月22日)に購入した。そして、リリースどおりJavaScript、Cookie、Refererが動作することを、実機にて確認した。 ところが、P-07Aと同日に発売開始されたN-06Aは、その日のうちに一時販売停止のお知らせが出る。 この度、弊社の携帯電話「N-06A」において、iモード接続時の不具合が確認されましたので、販売を一時見合わせさせていただきます。 なお、本事象に伴い、本日発表いたしました「N-08A」の販売開始日につきましても、5月28日から延期となります。 「N-06A」の販売再開及び「N-08A」の販売開始時期
Pwn2Ownのハッカー、Charlie Miller氏へのインタビュー
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-03-21 22:44 バンクーバー発 -- CanSecWestセキュリティカンファレンスで、私はCharlie Miller氏と話をする機会を得ることができた。同氏はSafariのコード実行脆弱性を利用して、完全にパッチを適用したMacBookに侵入した。 われわれはウェブブラウザのセキュリティの現状、脆弱性市場、現代のオペレーティングシステムでの耐攻撃措置の必要性について議論した。 --今回の脆弱性について、話せることはありますか。 Charlie Miller氏:あまりありません。コンテストのルールの一部として、私は技術的な詳細に関する守秘義務契約に縛られています。あのコンピュータ(MacBook Air)には、完全にパッチが適用されていたということは言ってもいいでしょう。使っ
第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
文字コードのセキュリティ問題はどう対策すべきか: U+00A5を用いたXSSの可能性 - 徳丸浩の日記(2009-03-11)
_U+00A5を用いたXSSの可能性 前回の日記では、昨年のBlack Hat Japanにおける長谷川陽介氏の講演に「趣味と実益の文字コード攻撃(講演資料)」に刺激される形で、Unicodeの円記号U+00A5によるSQLインジェクションの可能性について指摘した。 はせがわ氏の元資料ではパストラバーサルの可能性を指摘しておられるので、残る脆弱性パターンとしてクロスサイト・スクリプティング(XSS)の可能性があるかどうかがずっと気になっていた。独自の調査により、XSS攻撃の起点となる「<」や「"」、「'」などについて「多対一の変換」がされる文字を探してきたが、現実的なWebアプリケーションで出現しそうな組み合わせは見つけられていない。 一方、U+00A5が処理系によっては0x5C「\」に変換されることに起因してXSSが発生する可能性はある。JavaScriptがからむ場合がそれだ。しかし、
Dropbox で同期するファイルを暗号化
以前、ITmedia Biz.IDでも紹介されていた、「Dropbox」 と 「TrueCrypt」 を組み合わせて Dropbox で扱うファイルを暗号化する方法ですが、周りでも結構仕事で Dropbox を使う人が増えてきたみたいですので、ここらでもう少し詳しく、この暗号化から同期して利用するまでの手順を紹介してみようと思います。 暗号化ソフト TrueCrypt は開発が終了し、公式サイトにおいて BitLocker への移行が推奨されています。 以前、ITmedia Biz.IDでも紹介されていた、2GB まで無料で使えるオンラインストレージ、「Dropbox」 と、フリーの暗号化ソフト、「TrueCrypt」 を組み合わせて Dropbox で扱うファイルを暗号化する方法ですが、私も DropBox 導入時からこの方法で一部のファイルを暗号化して同期するようにしています。 周りで
2009-03-05
「ゴミ箱ちゃんと確認した?」とつっこみを受けて、、あーなるほど、、ゴミ箱にあったという罠、お騒がせしてすいません。。。orz。しかし、気になるリンクもあったので、エントリは修正せずに、以下にまとめます。厳密な検証はしていません。 確認できたのは以下の動作です。 Gmail の Google Docs で開くをクリックするとgmailユーザー(a@gmail.com)がオーナーとしてドキュメントが作成され(ファイル名=ドキュメント名だった)、URL(http://spreadsheets.google.com/ccc?key=hogehoge&gmrcpt)が割り当てられる。 上記 googleからGmail自動送信のメールがa@gmail.com宛に届き、ドキュメントへのURLである http://spreadsheets.google.com/ccc?key=hogehoge&gmrcp
SQLインジェクション攻撃はDB上の任意データを盗み出す - ockeghem's blog
前回に引き続き、Think IT上の連載「SQLインジェクション大全」の第4回:ケース別、攻撃の手口を読んで感じたことを書きたい。 まず、この記事は以下のような書き出しから始まっている。 本記事は、システムを防御するにはまず敵を知らなければならない、という意図の下に、攻撃手法を紹介する。 dfltweb1.onamae.com – このドメインはお名前.comで取得されています。 この趣旨に異論があるわけではないが、しかしこの表現は誤解を生みやすいものだと思う。 というのは、「敵」(攻撃方法)を知ったからと言って、防御の方法が導き出せる訳ではないからだ。例えば、開発者が「最近のSQLインジェクションの自動化攻撃にはT-SQLのDECLARE文が用いられる」という情報を得て独自に対策を考えた場合、DECLAREという単語をチェックしてエラーにしたり、単語を削除することを考えがちだと思う。現に
mb_check_encodingは何をチェックするのか(その1 SJIS編) - hnwの日記
(2009/02/15 17:20)「個人的な感想」を追記しました。また、下記はPHP5.2.1以降の挙動です。PHP5.2.0以前のmb_check_encodingは更にカオスなので、あまり使い物にならないと思います。 (2009/02/16 12:30)追記2:バグっぽいと思った件は本当にバグで、修正がhttp://news.php.net/php.cvs/56276の通り取り込まれました。PHP5.2.9から修正される予定です。 (2009/02/22 16:20)追記3:他のエンコーディングについても調査しました。「(その2 EUC-JP編)」と「(その3 UTF-8編)」も合わせてご覧下さい。 PHPのmb_check_encoding関数が一体何のチェックをしているのか、エンコーディングごとに一通り調べてみます。 まずはSJISとSJIS-win(CP932)について調べてみ
すごい勢いで銀行やWEBのパスワードを可視化させるIC免許証
IC免許証がヒドイんです。 免許を書き換えようとして警察に行ったら、受付の申込書と一緒に、これからは免許がIC免許証になるから、つきましては4桁数字のパスワードを二つ書け、と。 言われるがままに思いつくパスワードを2つ書いて提出したら、こんな紙が返ってきました。 こんなことが書いてあります。 ICチップに次のとおり登録しました。この用紙は免許証とは別に保管しましょう。 というか、この紙に印刷されているパスワードは、とても大事なあっちのパスワードと、こっちのパスワードなんですけど。。。 何が問題か? 問題1.警察に免許書き換えに行ったら、申込用紙を書く際に、パスワードを2つも書けと言われた。 このパスワードを書く時点で、こうやって後から紙で返ってくることはわからないわけだから、当然、忘れない2つのパスワードを入力するハズ。プライオリティの高いツートップのパスワードを2つ入力してしまう可能性は
ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で本当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが本当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し
今日時点での偽SSL証明書の話関連をピックアップ - naoeの日記
そろそろ各種ベンダーからもプレスリリースやらメールが回り始めたことだし ちょっとづつ集めてみよう.どうせ仕事でこの辺をやる羽目になるのだろうから・・・ MD5 considered harmful today: Creating a rogue CA certificate http://www.win.tue.nl/hashclash/rogue-ca/ http://d.hatena.ne.jp/naoe/20090105#p1でも書いたように 年末にWebAppSecのメーリングリストでこの件について僕は知りました. そのときはふーん.PS3を200台使うとかうらやましすぎる.とか位にしか思っていなかった. あとはここでもよくCFPを流していてChaos Communication Congressは前にも流したのでへぇーくらい. http://d.hatena.ne.jp/naoe
現行版のPHPに任意メモリ参照バグ – 攻撃コード付き
(Last Updated On: 2018年8月13日)随分前から共有型Webホスティングサービスでは安全性を確保できないので、安全性を重視するサイト(ECなど)は最低限でも仮想ホスト型の共有サービスを利用すべきである、と言っています。 今回のエントリはPHPをApacheモジュールで共有型ホスティングサービスを利用しているユーザに影響します。SSLを利用している場合は秘密鍵を盗まれます。このバグはPHP 5.2.8でも修正されていません。当然ですがPHP 4.4.9でも修正されていません。 Milw0rmのアドバイザリ http://www.milw0rm.com/exploits/7646 には、そのまま使える、任意のアドレスのデータを参照するコードまで付いています。秘密鍵を盗むことは簡単です。 誤解してはならない事ですが、これはPHPに限った問題ではありません。PHPでは度々このよ
高木浩光@自宅の日記 - 今年一年の日記を振り返る
■ 今年一年の日記を振り返る 今年は大きく分けて5つの話題があった。ウイルス罪を新設する刑法改正が進まない件、iモードIDの全サイト送信が開始された件、Webのサービスの公開/非公開の区別が適切に説明されない件、暴走し始めた行動ターゲティング広告の件、そしてストリートビューの件だ。 ウイルス罪新設刑法改正が進まない件 ウイルス罪を新設する刑法改正が進まない件は、何年も前からこう着状態が続いていたが、1月にウイルス作者が著作権侵害と名誉毀損の容疑で逮捕される事件が発生し、事態は少し進展した。 ウイルスを他人に実行させる目的で作成したり頒布する行為について、直接処罰する法律が日本にはまだない。1月の事件は、そのウイルスがたまたま、商用のアニメ画像を悪質な目的で改変して作られたもので、また、特定の個人を誹謗中傷するメッセージを含むものであったため、著作権侵害と名誉毀損で立件できたという特殊な事例
Kazuho@Cybozu Labs: Text::MicroTemplate - テンプレートエンジンのセキュリティと利便性
« MySQL の order by 〜 limit を高速化する方法 | メイン | MySQL Conference & Expo 2009 で Q4M の話をします » 2008年12月16日 Text::MicroTemplate - テンプレートエンジンのセキュリティと利便性 先月開催された Shibuya.pm #10 でプレゼンテーションがあった MENTA や NanoA では、Mojo 由来のテンプレートエンジンを拡張して使用してきたのですが、Perl モジュールとして独立させるべきだよね、ということになり、このたび Text::MicroTemplate として CPAN にアップロードしました。 そのことを告知するとともに、作業の過程で興味深く感じた、テンプレートエンジンのセキュリティと利便性に関する話題をブログに書いておこうと思います。 テンプレートエンジンのエスケ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
文字コードとセキュリティ